Anzeige

Security Baum

PKI-Administratoren stehen durch die zunehmende Notwendigkeit mehr Netzwerkverkehr zu verschlüsseln unter starkem Druck die Sicherheit zu verbessern. In den meisten Unternehmen verwalten sehr kleine PKI-Experten-Teams Tausende von TLS-Schlüsseln und -Zertifikaten, sogenannte Maschinenidentitäten. 

Kleine Fehler können verheerende Folgen haben. Die richtige Technologie ist deshalb notwendig, um Änderungen, die sich auf kritische Sicherheitsressourcen auswirken, von Administratoren nachvollziehbar zu machen.

„Sie können sich nicht in der Cloud bewegen, Kubernetes nutzen, IoT-Netzwerke und mehr bereitstellen, ohne PKI zu verwenden; für die meisten IT-Profis sind Maschinenidentitäten jedoch eine dunkle Kunst mit wenigen Meistern“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „CISOs können IAM-Programme nicht dem Zufall überlassen, daher muss PKI sicher betrieben werden. Letztendlich sollte PKI die Grundlage für robuste Programme zum Schutz der Maschinenidentität bilden; Unternehmen nutzen sie, um den Datenfluss zu vertrauenswürdigen Maschinen zu identifizieren und zu autorisieren.“

Laut Bocek gibt es vier häufige Fehler, die Unternehmen machen und damit Sicherheitsrisiken erhöhen oder die Zuverlässigkeit sowie Verfügbarkeit geschäftskritischer Netzwerkressourcen negativ beeinflussen. Zu diesen gehören:

 1. Unternehmen sollten interne und mittlere private Zertifizierungsstellen vergessen.

Wenn die Root-Signatur der Zwischenzertifizierungsstelle (CA) eines Unternehmens aus irgendeinem Grund offline geht, müssen Administratoren wissen, wo sie sich befindet. Es gibt Fälle, in denen Unternehmen eine Root-CA auf einer virtuellen Maschine eingerichtet haben und diese dann in den Ruhezustand versetzen konnten. Wenn IT-Ops-Teams die ruhenden virtuellen Maschinen aufräumen, deaktivieren sie versehentlich die gesamte PKI. Dies ist der Fall, da sie die virtuelle Maschine löschen, in der sich die vergessene Root- oder Zwischen-CA befand. Ohne die richtige Technologie könnte es Monate dauern, bis dieser Fehler behoben ist.

 2. Nicht-Erlöschen von Zertifikaten und Entfernen von Schlüsseln

Anwendungseigner und Systemadministratoren, die nicht mit Zertifikaten arbeiten, versuchen häufig, solche an der falschen Stelle zu installieren, Fehler in Anfragen zu machen oder zu vergessen und nicht benötigte oder nicht verwendete Zertifikate zu entfernen. Diese unnötigen Zertifikate dürfen nicht widerrufen werden und die entsprechenden Schlüssel werden nie entfernt. In einigen Unternehmen sind Tausende von unnötigen Maschinenidentitäten auf Hunderten von Servern verstreut. Dies bietet schlechten Akteuren viele Möglichkeiten, die legitimen Zertifikate zu finden und zu missbrauchen.

3. Kontinuierliche Verlängerung der Gültigkeitsdauer von Zertifikaten

Die manuelle Verwaltung von Zertifikaten kann sowohl zeit- als auch ressourcenintensiv sein, insbesondere wenn Unternehmen Tabellenkalkulationen, interne Skripte oder CA-Dashboards mit eingeschränkter Funktionalität verwenden. Es kann verlockend sein, dieses Problem durch eine Verlängerung der Gültigkeitsdauer von Zertifikaten zu reduzieren. Die Technik kann Unternehmen zwar kurzfristig einige Zeit sparen, erhöht aber auch das Sicherheitsrisiko in erheblich. Eine längere Zertifikats-Lebensdauer gibt Angreifern mehr Zeit, die privaten Schlüssel ins Visier zu nehmen.

4. Keine Verfolgung von Wildcard-Zertifikaten

Wildcart-Zertifikate sind so einfach zu verwenden, dass sie oft wahllos eingesetzt werden; viele Unternehmen verfolgen sie nicht einmal. Wenn PKI-Administratoren nicht wissen, auf welchen Rechnern Wildcard-Zertifikate verwendet werden, ist es fast unmöglich, jede Instanz zu erneuern, bevor sie abläuft. Wenn dies geschieht hört jede Maschine, auf der sie installiert wurde, gleichzeitig auf zu kommunizieren. Diese Eventualität kann den Betrieb stören und erfordert umfangreiche Ressourcen, um jede Installation zu verfolgen und neue Zertifikate neu zu installieren.

„Es ist allzu einfach, häufige PKI-Fehler zu machen, die schwerwiegende Folgen für Unternehmen haben können“, schließt Bocek ab. „Indem sie einige der Dinge hervorheben, die schrecklich schief gehen können, können mehr PKI-Administratoren die oben beschriebenen Alpträume vermeiden. Der beste Weg, alle größeren Fehler bei PKI zu beseitigen, ist der Aufbau eines Programms zum Schutz der Maschinenidentität. Es sollte Transparenz, Intelligenz und Automatisierung bieten, um Sicherheitsrisiken zu reduzieren und die Zuverlässigkeit und Verfügbarkeit zu erhöhen.“

www.venafi.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schranke Tiefgarage

53 % der Unternehmen planen Zero-Trust-Funktionen einzuführen

Laut dem Bericht „2020 DACH Region Secure Access“ von IDG Connect und Pulse Secure plant mehr als die Hälfte aller Unternehmen in der DACH-Region, innerhalb der nächsten 18 Monate Zero-Trust-Funktionen zum Schutz vor den zunehmenden Cyberrisiken einzuführen,…
IAM

Okta erweitert IAM-Plattform

Okta hat seine IAM-Plattform, Okta Platform Services, Okta FastPass sowie Okta Lifecycle Management Workflows erweitert. Des Weiteren wurden strategische Partnerschaften mit VMware Carbon Black, CrowdStrike und Tanium im Bereich…
Goldfisch mit Haimaske und Hai mit Goldfischmaske

Deception-Lösung für privilegierte Accounts

Mit einer neuen Deception-Funktion, also einer Sicherheitstechnologie, die Täuschungsmanöver nutzt, unterbindet CyberArk den Diebstahl von privilegierten Zugangsdaten auf PCs, Workstations oder Servern.
Cybersecurity Schloss

Fokus auf Identität: Eine neue Front-Line für IT-Sicherheit

Ein eindeutiges Ergebnis: In der European Security Survey 2019 von IDC wurden 700 europäische CISOs befragt, wo sie von erhöhter IT-Sicherheit einen geschäftlichen Nutzen erwarten. Klarer Spitzenreiter bei 45 % der Befragten: das optimierte Risikomanagement.
Zutrittskontrolle

Einsatzmöglichkeiten für physische Zutrittskontrollsysteme erhöhen

Physische Zutrittskontrollsysteme sind die Standardlösung für die Sicherung des Zugangs zu Gebäuden oder Büros. Darüber hinaus werden sie aber mehr und mehr zum Dreh- und Angelpunkt für die Steuerung betrieblicher Prozesse, meint HID Global. Möglich wird…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!